新发现的macOS恶意软件一直在进行间谍活动(在新标签中打开)在用户上，并使用公共云作为其命令和控制(C2)服务器。据ESET的研究人员称，该活动的目标是从目标中窃取尽可能多的数据。这包括文档、电子邮件和附件，以及来自可移动存储的文件列表。更重要的是，间谍软件能够记录击键和抓取屏幕截图。

ESET团队将其称为CloudMensis，进一步补充说，其相对有限的分布表明它是有针对性的操作，而不是广泛的攻击。身份未知的攻击者没有利用任何零日漏洞进行他们的活动，这导致研究人员得出结论，macOS用户的端点(在新标签中打开)是最新的，应该是安全的。

“我们仍然不知道CloudMensis最初是如何分布的以及目标是谁。代码的一般质量和缺乏混淆表明作者可能对Mac开发不是很熟悉，也不是那么先进。尽管如此，还是投入了大量资源使CloudMensis成为强大的间谍工具并对潜在目标构成威胁，”ESET研究员Marc-EtienneLéveillé解释道。

研究人员补充说，CloudMensis是一个多阶段的活动。首先，恶意软件会寻求执行代码的能力以及管理权限。之后，它会运行一个释放器，从云存储中提取更强大的第二阶段恶意软件。

第二阶段恶意软件总共有39个命令，包括数据泄露、屏幕截图抓取等。

为了与恶意软件进行通信，攻击者使用了三个不同的公共云提供商：pCloud、YandexDisk和Dropbox。该活动于2022年2月上旬开始。

据ESET称，Apple已经承认存在针对其用户的间谍软件，并正在准备针对iOS、iPadOS和macOS的锁定模式形式的缓解措施。该工具将禁用威胁参与者通常用来在目标端点上获得代码执行权限的功能。